La نشرت مؤسسة أمن المعلومات المفتوحة إصدار Suricata 5.0 ، الذي نظام كشف ومنع التسلل على الشبكة الذي يوفر أدوات فحص لأنواع مختلفة من حركة المرور.
يقوم على مجموعة من القواعد مطور خارجيا لمراقبة حركة مرور الشبكة وتقديم تنبيهات لمسؤول النظام عند وقوع أحداث مريبة. في تكوينات Suricata ، يُسمح باستخدام قاعدة بيانات التوقيع التي طورها مشروع Snort ، بالإضافة إلى مجموعات قواعد التهديدات الناشئة والتهديدات الناشئة. يتم توزيع الكود المصدري للمشروع بموجب ترخيص GPLv2.
الأخبار الرئيسية من Suricata 5.0
في هذا الإصدار الجديد يتم عرض وحدات التحليل والتسجيل الجديدة للبروتوكولات RDP و SNMP و SIP مكتوب في الصدأ. تتمتع الوحدة النمطية لتحليل FTP بالقدرة على تسجيل الدخول من خلال نظام EVE الفرعي ، والذي يوفر إخراج الحدث بتنسيق JSON.
بالإضافة إلى دعم أسلوب مصادقة العميل TLS JA3 الذي ظهر في الإصدار السابق ، تمت إضافة دعم لطريقة JA3S ، والتي تتيح لك تحديد البرنامج المستخدم لإنشاء الاتصال بناءً على الخصائص ومعايير تفاوض الاتصال التي تم إنشاؤها (على سبيل المثال ، يسمح لك بتحديد الاستخدام Tor والتطبيقات النموذجية الأخرى).
يوفر JA3 القدرة على تحديد العملاء وخوادم JA3S. يمكن استخدام نتائج التعريف في لغة القواعد وفي السجلات.
تمت إضافة أ القدرة التجريبية للمقارنة مع مجموعة مختارة من مجموعات البيانات الكبيرةs ، باستخدام مجموعة البيانات الجديدة وعمليات datarep. على سبيل المثال ، الوظيفة قابلة للتطبيق للبحث عن الأقنعة في القوائم السوداء الكبيرة التي تحتوي على ملايين الإدخالات.
في وضع فحص HTTP ، تتم تغطية جميع المواقف الموضحة في مجموعة اختبار HTTP Evader (على سبيل المثال ، تغطي الطرق المستخدمة لإخفاء النشاط الضار في حركة المرور).
يتم نقل أدوات التطوير للوحدات في لغة Rust من الخيارات إلى فئة مهارات الموظفين الإلزامية. في المستقبل ، من المخطط توسيع استخدام Rust في قاعدة رمز المشروع واستبدال الوحدات تدريجياً بالنظائر المطورة في Rust.
تم تحسين محرك تعريف البروتوكول في مجال زيادة دقة ومعالجة تدفقات حركة المرور غير المتزامنة.
دعم إضافي لنوع جديد من سجلات "الانحراف" في سجل EVE ، حيث يتم تخزين القيم المتطرفة التي تم اكتشافها أثناء فك تشفير الحزمة. تتوسع EVE أيضًا في شبكات VLAN وواجهات التقاط حركة المرور. خيار مضاف لحفظ جميع رؤوس HTTP في إدخالات سجل http EVE ؛
تمت إعادة كتابة الكود لالتقاط حركة المرور باستخدام إطار عمل Netmap. تمت إضافة القدرة على استخدام ميزات Netmap المتقدمة مثل مفتاح VALE الظاهري.
تم اختبار كافة أكواد Python المستخدمة للتأكد من توافقها مع Python 3.
كيفية تثبيت Suricata على أوبونتو؟
لتثبيت هذه الأداة ، يمكننا القيام بذلك عن طريق إضافة المستودع التالي إلى نظامنا. للقيام بذلك ، ما عليك سوى كتابة الأوامر التالية:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
في حالة وجود Ubuntu 16.04 أو وجود مشاكل في التبعياتيتم حلها بالأمر التالي:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
تم التثبيت ، يوصى بتعطيل أي حزمة ميزات بدون قراءة على NIC التي يستمع إليها Suricata.
يمكنهم تعطيل LRO / GRO على واجهة شبكة eth0 باستخدام الأمر التالي:
sudo ethtool -K eth0 gro off lro off
تدعم ميركات عددًا من أوضاع التشغيل. يمكننا رؤية قائمة بجميع أوضاع التنفيذ بالأمر التالي:
sudo /usr/bin/suricata --list-runmodes
وضع التشغيل الافتراضي المستخدم هو autofp لتقف على "موازنة تلقائية لحمل التدفق الثابت". في هذا الوضع ، يتم تعيين الحزم من كل تدفق مختلف إلى مؤشر ترابط واحد للكشف. يتم تعيين التدفقات إلى المواضيع ذات أقل عدد من الحزم غير المعالجة.
الآن يمكننا المضي قدما إلى بدء Suricata في الوضع المباشر pcap باستخدام الأمر التالي:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal